中国信息安全法律大会专家委员会发布《勒索攻击防治倡议》修订版
2021年5月25日,中国信息安全法律大会专家委员会发起《勒索攻击防治倡议》。为筑牢网络安全屏障,全面应对勒索攻击风险,中国信息安全法律大会专家委员会现发布《倡议》修订版。
当前,以勒索病毒为典型的“犯罪即服务”攻击模式放大数据窃取、破坏和系统中断危害,引发灾难性的连锁反应,已成为威胁国家关键信息基础设施安全和全球数字化转型发展的“公害”。积极防治勒索攻击应当成为政府机构、行业领域、企事业单位、行业组织乃至全社会的共识和行动,以切实保障国家安全,维护网络空间公共秩序,保障公民、法人和其他组织的合法权益。
为此,中国信息安全法律大会专家委员会提出以下倡议:
一、凝聚“密码向善”共识
重申商用密码维护网络和数据安全的基础性作用,同时防止密码技术滥用,规范数字货币管理。
二、构筑安全底层屏障
引导个人和企事业单位正确使用信息系统、网络和密码技术,遵循网络访问和应用规则,禁止实施网络攻击活动。
三、提升勒索攻击风险发现能力
通过漏洞滚动排查、定期渗透测试等手段常态化验视系统、网络脆弱性与威胁,重点关注勒索攻击对关键信息基础设施数据活动和供应链安全的风险隐患。
四、强化数据安全保障能力
部署与设施、数据重要性相匹配的技术措施和管理策略,通过备份、冗余、共享机制,丰富风险抗衡举措。
五、落实主体责任
将勒索攻击风险评估作为关键信息基础设施年度风险评估、网络安全等级保护测评、商用密码应用与安全性评估的重要组成。突出网络安全等级保护、关键信息基础设施安全保护等法律强制性规定,对违反《网络安全法》等法律规定的,依法追究法律责任。
六、禁止支付“赎金”
在履行重要数据备份措施等安全保护义务基础上,统一企事业单位发生勒索攻击事件时“不支付”的底线思维。
七、优化应急响应和事件处置
网络安全监管机构、保护工作部门等之间建立勒索攻击监测、防御、研判、发布、预警、阻断、取证等工作的信息共享和联动机制,畅通安全威胁信息互联互通和信息共享渠道,实现跨行业、领域的应急融合。
八、形成国家应对勒索攻击的技术防护和恢复能力
组建针对勒索攻击的加密算法、破坏机制的技术攻关,支持网络安全服务机构应对勒索攻击的技术和服务创新,推动技术驱动的防御勒索攻击“AI化”的体系建设。
九、促进全社会安全意识水平和防护技能
公检法机构及时发布打击勒索攻击违法犯罪的典型案例与年度报告,与各监管、主管机构在全民国家安全教育日、国家网络安全宣传周、各行业领域继续教育和培训期间开展勒索攻击防治宣传教育。
十、发挥行业组织、技术社区的信息聚集和风险分散作用
支持行业协会、技术社区等自治机构、组织发挥在各自领域的信息共享、赋能传递作用,将防治勒索攻击的最佳实践向企事业单位普及、推送,形成衔接风险预警和应急融合的重要支撑,分散和弱化勒索攻击的社会化风险。
十一、加大勒索攻击违法犯罪打击力度
依据《刑法》及相关司法解释在制作传播计算机病毒、敲诈勒索、信息网络技术支持和帮助等方面的刑罚规定,始终保持高压严打态势,对勒索攻击涉及的信息流、技术流、资金流、人员流进行全链条打击,严厉惩治勒索攻击违法犯罪活动。
十二、推动打击勒索攻击犯罪国际合作
联手各国打击国际勒索攻击犯罪,积极参与相关国际联合执法工作,加强勒索攻击犯罪起诉与跨境执法数据协调。
我们呼吁各界支持以上倡议。
中国信息安全法律大会专家委员会
2021年10月16日
Colonial Pipeline事件后,美国众议院推动能源基础设施网络安全立法
国内首例微信支付赎金勒索案宣判,“95后”黑客获刑6年6个月
图文编辑:梁思雨